Worldcoin, la empresa que ofrecía criptomonedas a cambio de escanear el iris de los usuarios, tiene que eliminar todos los registros de iris almacenados. Así lo ha dictaminado la BayLDA, la autoridad de protección de datos de Baviera, en Alemania. El organismo sustenta la decisión en el hecho de que la empresa no almacenó estos datos biométricos con los estándares de seguridad adecuados. El escaneo del iris de miles de ciudadanos europeos por parte de Worldcoin infringe el Reglamento General de Protección de Datos (RGPD) europeo, concluye la BayLDA en una resolución que va en la línea de la medida cautelar impuesta por la Agencia Española de Protección de Datos (AEPD), que en marzo ordenó el cese inmediato de la recogida y tratamiento de datos personales, así como el bloqueo de las ya recopiladas de cerca de 400.000 ciudadanos.
La resolución ordena que la eliminación de todos los códigos de iris se tenga que hacer desde el inicio del proyecto, ya que no se almacenaron con las medidas de seguridad necesarias para el tratamiento de datos biométricos. Además, se requiere que el tratamiento futuro del iris se haga con el consentimiento explícito del interesado, y se tiene que garantizar el derecho a la supresión de estos datos. Un aspecto destacado es que la BayLDA también ha constatado que la empresa no implantó las medidas adecuadas para evitar el tratamiento de datos de menores de edad, uno de los motivos que precipitó la intervención inmediata de la AEPD.
Worldcoin acató la medida cautelar de la agencia de protección de datos española y suspendió la actividad, pero recurrió la decisión a la Audiencia Nacional. El alto tribunal español dio finalmente la razón a la AEPD. Ahora, el organismo español estaba a la espera de conocer el posicionamiento de la agencia de Baviera, que marca la línea de actuación de la Unión Europea.
La empresa se defiende
Después de esta decisión, la empresa Tools For Humanity (TFH), propietaria de Worldcoin, ha anunciado que apelará la decisión de la Oficina Regional Bávara para la Protección de Datos. En una reacción de su director legal y de privacidad, Damien Kiera, enviada a EFE, afirman que su apelación estará diseñada para "buscar claridad judicial sobre si los procesos y, en particular, las tecnologías de mejora de la privacidad implementadas a escala mundial cumplen con la definición mundial de anonimización de la UE".
"La anonimización de datos, no solamente la eliminación de datos, es esencial para permitir que las personas se verifiquen como humanas en línea mientras permanecen completamente privadas", indica Kiera. "Sin una definición clara sobre anonimización, no obstante, perdemos quizás nuestra herramienta más poderosa en la lucha para proteger la privacidad en la era de la inteligencia artificial", añade. El portavoz de la empresa asegura que desde que la autoridad alemana inició la investigación en 2023 han mejorado su sistema de Custodia de Datos Personales, y que "los datos personales utilizados para crear una identidad virtual solo son almacenados en el dispositivo de la persona y no son retenidos por World ni por ninguno tercero".
Además, subraya que "los códigos de iris ya no se abstienen ni se almacenan", y que los ya recopilados con anterioridad "fueron eliminados voluntariamente para garantizar que no se retenga ningún dato personal". En su lugar "se usan datos anonimizados en forma de participaciones secretas cifradas criptográficamente para permitir el funcionamiento anónimo" de la identidad y "estos datos se almacenan con terceros de confianza", destaca.